今週の月曜日(28日)、英国及び米国政府は、マイクロソフト社のインターネットエクスプローラーの脆弱性を利用したサイバーテロの高度な可能性について世界中の利用者に対して緊急警告を行った。これを受けて米国土安全保障省も利用停止を推奨している。
マイクロソフト社によれば、Internet Explorer6から11で脆弱性を悪用しようとする限定的な標的型攻撃を確認しており、今後大規模な攻撃の可能性を否定できない、という。
この脆弱性により利用者のメモリが破損し、攻撃者がInternet Explorerを介してリモートでコードを実行することで特別に細工を施したWebサイトに誘導させるなどの被害がある可能性を指摘している。
マイクロソフト社は、こうした攻撃に対して、全てのケースで利用者を強制的に特別に細工を施したWebサイトに接続させることは不可能とし、多くの事例で、当該Webサイトに接続させるための電子メールメッセージあるいはインスタントメッセンジャー内のリンクを偽装してクリックさせる方法が取られる可能性が高いとしている。
BBCは、世界のブラウザー市場において当該Explorerが約50%を占めている現状を見て非常に憂慮している。
今週に入り、当社にも法人クライアントから多数、セキュリティに関する問い合わせが増えてきた。ゴールデンウィーク幕開けの最中の事態に、IT管理者やセキュリティ責任者は対応を迫られた状況だ。
営業に支障がない場合にはブラウザーを一時的に使用停止にするなど暫定的な措置を行う企業もあるが、ブラウザーを利用したクラウドを導入している企業では対応を苦慮する場面もある。ひとまずリスク分析と状況把握に追われて、根本的な対応を留保する企業が続出している。
マイクロソフト社のインターネットエクスプローラーについては、かつてから色々な調査機関から脆弱性評価の報告があったが、これまでのバージョンの中で継続的に指摘されていた開放済みメモリ使用(use-after-free)の脆弱性が、改善されずに攻撃者のターゲットとなってしまったことは非常に残念だ。
白井 邦芳(危機管理コンサルタント/社会情報大学院大学 教授)
白井 邦芳(危機管理コンサルタント/社会情報大学院大学 教授)
ゼウス・コンサルティング代表取締役社長(現職)。1981年、早稲田大学教育学部を卒業後、AIU保険会社に入社。数度の米国研修・滞在を経て、企業不祥事、役員訴訟、異物混入、情報漏えい、テロ等の危機管理コンサルティング、災害対策、事業継続支援に多数関わる。2003年AIGリスクコンサルティング首席コンサルタント、2008年AIGコーポレートソリューションズ常務執行役員。AIGグループのBCPオフィサー及びRapid Response Team(緊急事態対応チーム)の危機管理担当役員を経て現在に至る。これまでに手がけた事例は2700件以上にのぼる。文部科学省 独立行政法人科学技術振興機構 「安全安心」研究開発領域追跡評価委員(社会心理学及びリスクマネジメント分野主査:2011年)。事業構想大学院大学客員教授(2017年-2018年)。日本広報学会会員、一般社団法人GBL研究所会員、日本法科学技術学会会員、経営戦略研究所講師。
白井 邦芳(危機管理コンサルタント/社会情報大学院大学 教授)
ゼウス・コンサルティング代表取締役社長(現職)。1981年、早稲田大学教育学部を卒業後、AIU保険会社に入社。数度の米国研修・滞在を経て、企業不祥事、役員訴訟、異物混入、情報漏えい、テロ等の危機管理コンサルティング、災害対策、事業継続支援に多数関わる。2003年AIGリスクコンサルティング首席コンサルタント、2008年AIGコーポレートソリューションズ常務執行役員。AIGグループのBCPオフィサー及びRapid Response Team(緊急事態対応チーム)の危機管理担当役員を経て現在に至る。これまでに手がけた事例は2700件以上にのぼる。文部科学省 独立行政法人科学技術振興機構 「安全安心」研究開発領域追跡評価委員(社会心理学及びリスクマネジメント分野主査:2011年)。事業構想大学院大学客員教授(2017年-2018年)。日本広報学会会員、一般社団法人GBL研究所会員、日本法科学技術学会会員、経営戦略研究所講師。
この記事の感想を
教えて下さい。
この記事の感想を教えて下さい。
